[发明专利]安全准入方法及系统

权利要求书

1.一种安全准入方法，其特征在于，包括：

安全准入装置监控网络中设备的状态，当所述网络中有设备的状态发生变更时，获取发生变更的设备的设备信息；

所述安全准入装置根据所述设备信息，对所述发生变更的设备进行安全核查，获取安全核查结果；

所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果；

所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。

2.根据权利要求1所述的安全准入方法，其特征在于，所述网络包括内部网络和外部网络；

所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络包括：

所述安全准入装置将所述风险评估结果和预设的至少一个安全等级的准入规则进行比较，确定所述发生变更的设备可接入的网络类型，所述准入规则包括所述准入规则的安全等级和准许接入的网络类型；

所述安全准入装置控制所述发生变更的设备接入与所述确定出的可接入的网络类型对应的网络。

3.根据权利要求2所述的安全准入方法，其特征在于，所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果包括：

所述安全准入装置将所述网络的整体风险系数和所述安全核查结果作为所述预设风险评估算法的输入参数，计算所述发生变更的设备在所述网络中的风险系数，确定所述发生变更的设备的安全等级。

4.根据权利要求3所述的安全准入方法，其特征在于，所述预设的至少一个安全等级的准入规则包括：

A级：允许设备接入，管理和/或访问所述内部网络及所述外部网络；

B级：允许设备接入，访问所述内部网络及所述外部网络；

C级：允许设备接入，访问所述外部网络；

D级：禁止设备接入任何网络。

5.根据权利要求4所述的安全准入方法，其特征在于，在所述发生变更的设备接入所述网络之后包括：

根据所述网络中各设备在所述网络中的风险系数，以及所述网络中各安全等级对应的比重，更新所述网络的整体风险系数；

将更新后的所述网络的整体风险系数及所述网络中各安全等级对应的比重发送给安全状态评估服务器，以评估当前网络的安全状态。

6.一种安全准入系统，其特征在于，包括安全准入装置，所述安全准入装置包括：

设备状态监控模块，监控网络中设备的状态，当所述网络中有设备的状态发生变更时，获取发生变更的设备的设备信息；

安全核查模块，用于根据所述设备信息，对所述发生变更的设备进行安全核查，获取安全核查结果；

风险评估模块，用于根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果；

设备准入控制模块，用于根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。

7.根据权利要求6所述的安全准入系统，其特征在于，所述网络包括内部网络和外部网络；

所述设备准入控制模块包括：

设备风险系数计算单元，用于将所述风险评估结果和预设的至少一个安全等级的准入规则进行比较，确定所述发生变更的设备可接入的网络类型，所述准入规则包括所述准入规则的安全等级和准许接入的网络类型；

设备风险系数发送单元，用于控制所述发生变更的设备接入与所述确定出的可接入的网络类型对应的网络。

8.根据权利要求7所述的安全准入系统，其特征在于，所述风险评估模块具体用于：根据所述网络的整体风险系数和所述安全核查结果作为所述预设风险评估算法的输入参数，计算所述发生变更的设备在所述网络中的风险系数，确定所述发生变更的设备的安全等级。

9.根据权利要求8所述的安全准入系统，其特征在于，

所述预设的至少一个安全等级的准入规则包括：

A级：允许设备接入，管理和/或访问所述内部网络及所述外部网络；

B级：允许设备接入，访问所述内部网络及所述外部网络；

C级：允许设备接入，访问所述外部网络；

D级：禁止设备接入任何网络。

10.根据权利要求9所述的安全准入系统，其特征在于，所述安全准入系统还包括与所述安全准入装置通信的安全状态评估服务器；

所述安全准入装置还包括：网络风险系数计算模块，用于在所述发生变更的设备接入所述网络之后，根据所述网络中各设备在所述网络中的风险系数，以及所述网络中各安全等级对应的比重，更新所述发生变更的设备接入到所述网络后所述网络的风险系数；

网络风险系数发送模块，用于将更新后的所述网络的整体风险系数及所述网络中各安全等级对应的比重发送给所述安全状态评估服务器，以评估当前网络的安全状态；其中，

所述安全状态评估服务器，用于接收更新后的所述网络的整体风险系数及所述网络中各安全等级对应的比重，并根据所述网络的整体风险系数及网络中各安全等级对应的比重评估当前网络的安全状态。